Conditions Générales de Vente et de Service -- SYAGA Audit
Date d'entrée en vigueur : 25 juin 2026
Article 1 -- Identification de l'éditeur
Le service SYAGA Audit (accessible à l'adresse syaga.eu) est édité et exploité par :
SYAGA CONSULTING, société à responsabilité limitée (SARL) au capital de 20 000 euros, immatriculée au Registre du Commerce et des Sociétés d'Aix-en-Provence sous le numéro SIREN 518 489 471, créée le 08/12/2009.
Numéro de TVA intracommunautaire : FR93 518489471.
Siège social : 2 Impasse Paul Langevin, 13110 Port-de-Bouc.
Gérant : Sébastien Questier.
Contact : contact@syaga.fr.
Ci-après désignée l'Editeur ou le Prestataire. Le client professionnel souscrivant au service est désigné le Client. L'Editeur et le Client sont désignés ensemble les Parties.
Article 2 -- Objet et champ d'application
Les présentes Conditions Générales de Vente et de Service (CGV) définissent les conditions dans lesquelles l'Editeur fournit au Client un accès au service SYAGA Audit et les prestations associées.
Les CGV s'appliquent à toute commande passée par le Client et prévalent sur tout autre document, sauf conditions particulières signées entre les Parties (lesquelles priment en cas de contradiction avec les présentes). Le service est destiné exclusivement à des Clients professionnels agissant dans le cadre de leur activité (relation B2B) ; il n'est pas proposé aux consommateurs au sens du Code de la consommation.
La souscription au service, sous quelque forme que ce soit (formulaire en ligne, acceptation électronique, paiement), emporte acceptation pleine et entière des présentes CGV.
Article 3 -- Définitions
- Service : la plateforme SYAGA Audit, accessible en ligne, permettant l'audit de conformité et de sécurité d'un environnement Microsoft 365 en lecture seule.
- Tenant : l'environnement Microsoft 365 du Client, tel que configuré chez Microsoft.
- Rapport d'audit : le document structuré produit par le Service à l'issue de l'analyse du Tenant.
- Offre Gratuite (Score Gratuit) : accès limité et sans engagement, permettant l'obtention d'un score de conformité indicatif sans rapport détaillé complet ni accès aux fonctionnalités Pro.
- Offre Pro : accès complet au Service, incluant le rapport détaillé, les exports et les fonctionnalités avancées, moyennant paiement selon l'Article 5.
- OAuth Microsoft : protocole d'autorisation standard utilisé pour permettre au Service d'accéder, en lecture seule et avec le consentement du Client, aux données de configuration du Tenant via les API Microsoft (Microsoft Graph).
- Architecture éphémère : l'audit s'exécute en mémoire vive dans un conteneur de scan jetable (sans stockage sur disque). Le rapport est remis une fois au Client puis les données brutes de scan (findings, token d'accès) sont purgées. Le token d'accès Microsoft est chiffré au repos (Fernet) et jamais conservé après la fin de l'audit. TTL de sécurité maximal : 2 heures.
Article 4 -- Description du service SYAGA Audit
SYAGA Audit est un service d'audit de sécurité et de conformité d'environnements Microsoft 365, réalisé en lecture seule. Le Service ne procède à aucune modification de la configuration, des données ou des paramètres du Tenant du Client.
Le service consiste à :
- collecter, en lecture seule et via les API Microsoft autorisées par le Client par flux OAuth Microsoft, des données de configuration et de posture de sécurité du Tenant ;
- analyser ces données au regard de référentiels publics de bonnes pratiques (notamment, à titre indicatif et non exhaustif : recommandations de l'ANSSI, principes du Règlement (UE) 2016/679 RGPD, exigences de la Directive (UE) 2022/2555 NIS2) ;
- restituer au Client un Rapport d'audit accessible en ligne, accompagné d'exports selon l'offre souscrite.
Le Service opère selon une architecture éphémère : aucune donnée de configuration du Tenant n'est conservée côté serveur après la livraison du Rapport. Seules les données de facturation du Client sont conservées (voir Article 11).
4.1 Offre Gratuite (Score Gratuit)
L'Editeur propose un accès gratuit permettant d'obtenir un score de conformité indicatif portant sur un périmètre limité de contrôles. Cet accès est fourni sans garantie de niveau de service et peut être modifié ou interrompu par l'Editeur à tout moment, sans préavis ni indemnité. Il ne donne pas lieu à émission de facture.
4.2 Offre Pro
L'Offre Pro, moyennant le paiement prévu à l'Article 5, donne accès au rapport d'audit complet, aux exports, aux recommandations détaillées et aux fonctionnalités avancées décrites sur le site syaga.eu.
L'étendue précise des vérifications et les référentiels couverts sont décrits dans la documentation du Service. La couverture des contrôles n'est pas garantie comme exhaustive (voir Article 10).
4.3 Limitations d'utilisation
L'Editeur applique un plafond de 2 audits par jour et par tenant à des fins de protection contre les abus et la surcharge technique. Toute tentative de contournement de cette limite constitue un manquement aux présentes CGV.
Article 5 -- Prix, TVA et paiement
5.1 Tarif de l'Offre Pro. Le prix de l'Offre Pro est fixé à 499 euros hors taxes (HT) par audit (paiement unique). Ce prix est affiché hors taxes sur le site syaga.eu.
5.2 TVA. La taxe sur la valeur ajoutée (TVA) au taux de 20 % s'ajoute au prix HT pour les Clients établis en France, portant le prix TTC à 598,80 euros TTC. Pour les Clients assujettis à la TVA établis dans un autre Etat membre de l'Union européenne, le mécanisme d'autoliquidation peut s'appliquer. La TVA est appliquée conformément à la réglementation : 20 % en France, autoliquidation pour les professionnels établis dans l'Union européenne disposant d'un numéro de TVA valide.
5.3 Modalité de paiement. Le paiement s'effectue par carte bancaire via le prestataire de paiement sécurisé Stripe, au moment de la commande (paiement comptant). Les données de paiement sont traitées directement par Stripe ; l'Editeur ne conserve pas les coordonnées bancaires du Client. Une facture est émise et transmise au Client après encaissement.
5.4 Modification tarifaire. L'Editeur se réserve le droit de modifier ses tarifs. Toute modification est communiquée au Client avant son entrée en vigueur. Elle est sans incidence sur les commandes déjà réglées.
5.5 Pénalités de retard (B2B). Conformément aux articles L. 441-10 et suivants du Code de commerce, tout retard de paiement entre professionnels entraîne de plein droit l'application de pénalités de retard au taux légal en vigueur ainsi que l'indemnité forfaitaire légale pour frais de recouvrement de 40 euros.
Article 6 -- Accès au service et connexion OAuth Microsoft
L'accès au Service requiert que le Client dispose d'un environnement Microsoft 365 actif et qu'il consente, via le flux OAuth Microsoft standard, à l'octroi des permissions nécessaires à l'audit, selon le principe du moindre privilège (les permissions les plus étroites proposées par Microsoft pour chaque périmètre). Ce consentement est révocable à tout moment depuis le portail Azure Active Directory / Entra ID du Client.
L'Editeur ne stocke ni les identifiants Microsoft du Client, ni son mot de passe. Le token d'accès OAuth fourni par Microsoft est chiffré au repos (Fernet) et utilisé uniquement pour la durée de l'audit. Il est purgé à la livraison du Rapport. Le Client est responsable des autorisations qu'il accorde et peut les révoquer à tout moment.
Article 7 -- Livraison
Les livrables du service SYAGA Audit sont :
- un Rapport d'audit accessible en ligne sur la plateforme de l'Editeur ;
- des exports du rapport dans les formats disponibles selon l'offre souscrite.
La livraison est réputée effectuée à la mise à disposition du Rapport en ligne au Client. Les délais de réalisation de l'audit sont indicatifs et dépendent notamment de la disponibilité des accès fournis par le Client et de la charge des systèmes.
Article 8 -- Durée et résiliation
8.1 Prestation ponctuelle (Offre Pro, paiement unique). La prestation prend fin à la livraison du Rapport et à l'expiration de la période d'accès associée à l'audit réalisé, sans formalité.
8.2 Résiliation pour manquement. En cas de manquement grave de l'une des Parties non réparé dans un délai de trente (30) jours calendaires après mise en demeure restée infructueuse, l'autre Partie peut résilier de plein droit, sans préjudice de tous dommages et intérêts.
8.3 Effets de la fin du contrat. A la fin du contrat, l'accès au Service est suspendu. Le sort des données du Client est régi par le DPA disponible à l'adresse dpa.html.
Article 9 -- Obligations des Parties
9.1 Obligations de l'Editeur. L'Editeur s'engage à fournir le Service avec diligence, conformément aux règles de l'art et en lecture seule, et à mettre en oeuvre des mesures techniques et organisationnelles appropriées pour la sécurité des données traitées, conformément à l'article 32 du RGPD.
9.2 Obligations du Client. Le Client s'engage à :
- fournir les accès et autorisations nécessaires à la réalisation de l'audit et disposer du pouvoir légal de les accorder ;
- garantir l'exactitude des informations communiquées ;
- utiliser le Service conformément à sa destination et à la réglementation applicable ;
- ne pas porter atteinte à la sécurité ou à l'intégrité du Service.
Le Client demeure seul responsable de la mise en oeuvre effective des recommandations issues du Rapport d'audit.
Article 10 -- Responsabilité et limitations
10.1 Nature de la prestation. Le Service SYAGA Audit constitue une aide à l'évaluation et à la documentation de la posture de sécurité et de conformité du Client. Il ne constitue ni une garantie de conformité réglementaire, ni une garantie de sécurité absolue de l'environnement Microsoft 365 du Client. Le Rapport reflète un état constaté à un instant donné, sur la base des données accessibles en lecture seule. Il ne se substitue pas à une analyse juridique individualisée, à une certification, ni à une homologation.
10.2 Obligation de moyens. L'Editeur est tenu à une obligation de moyens. Il ne saurait être tenu responsable des conséquences d'une faille de sécurité, d'une non-conformité, d'un incident ou d'un sinistre affectant l'environnement du Client.
10.3 Limitation de responsabilité. Dans les limites permises par la loi applicable entre professionnels, la responsabilité totale de l'Editeur est limitée au montant des sommes effectivement versées par le Client au titre de la prestation concernée au cours des douze (12) mois précédant le fait générateur. L'Editeur n'est pas responsable des dommages indirects (perte d'exploitation, perte de données, perte de chiffre d'affaires, atteinte à l'image). Cette clause est valable entre professionnels sous réserve des règles d'ordre public applicables.
10.4 Disponibilité. L'Editeur s'efforce d'assurer la disponibilité du Service. A défaut d'annexe SLA distincte, aucun engagement de disponibilité chiffré n'est garanti et le Service est fourni en l'état sous réserve des obligations légales impératives.
10.5 Force majeure. Aucune des Parties ne saurait être tenue responsable d'un manquement résultant d'un cas de force majeure au sens de l'article 1218 du Code civil.
Article 11 -- Protection des données personnelles
Le traitement des données à caractère personnel s'effectue conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée.
11.1 Rôles. Pour les données collectées dans le Tenant du Client lors de l'audit, l'Editeur agit en qualité de sous-traitant du Client (responsable de traitement) au sens de l'article 28 du RGPD. Un Accord de Traitement des Données (DPA) encadrant cette sous-traitance est disponible à l'adresse dpa.html et est réputé accepté par le Client concomitamment aux présentes CGV.
11.2 Données de compte et de facturation. Pour les données collectées directement auprès du Client (identité, email, facturation), l'Editeur agit en qualité de responsable de traitement, conformément à sa politique de confidentialité disponible à l'adresse confidentialite.html.
11.3 Architecture éphémère. Les données de configuration du Tenant (findings, token d'accès) sont purgées à la livraison du Rapport. Seules les données strictement nécessaires à la facturation sont conservées conformément aux obligations légales.
11.4 Cookies. Le site syaga.eu utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (sécurité anti-bot, session). Aucun cookie publicitaire ni analytique tiers n'est déposé. Ces cookies sont exemptés de consentement préalable conformément aux lignes directrices de la CNIL.
11.5 Hébergement. Les données sont hébergées en France, sur l'infrastructure OVH (France) opérée pour l'Éditeur (SYAGA CONSULTING).
Article 12 -- Propriété intellectuelle
La plateforme SYAGA Audit, ses composants logiciels, son moteur d'analyse et d'audit, sa documentation, ses méthodologies, ses marques et ses contenus demeurent la propriété exclusive de l'Editeur. Aucune disposition des CGV n'emporte cession de droits de propriété intellectuelle au profit du Client.
Le Client bénéficie d'un droit d'usage personnel, non exclusif et non cessible du Service et des Rapports, pour ses besoins internes, pendant la durée du contrat. Les exports du Rapport peuvent être conservés par le Client à l'issue de la prestation pour ses propres besoins de documentation interne. Les données du Client (données de son Tenant) demeurent sa propriété.
Article 13 -- Droit de rétractation (B2B)
Le Service étant destiné exclusivement à des Clients professionnels agissant dans le cadre de leur activité (relation B2B), le droit de rétractation prévu par le Code de la consommation au profit des consommateurs ne s'applique pas.
Le Client agissant en qualité de professionnel, les dispositions protectrices du consommateur, dont l'article L.221-3 du Code de la consommation, ne s'appliquent pas.
Garantie de bon fonctionnement (ré-exécution, remboursement exceptionnel). SYAGA Consulting s'engage à délivrer un audit fonctionnel et un rapport exploitable dans le délai annoncé. En cas de difficulté, le Client en informe SYAGA Consulting par courriel à contact@syaga.fr dans un délai de quatorze (14) jours ; SYAGA Consulting procède en priorité à la ré-exécution de l'audit et à l'assistance nécessaire jusqu'à la délivrance d'un rapport conforme. Un remboursement n'intervient qu'à titre exceptionnel et uniquement lorsqu'il est objectivement établi, par des éléments tangibles, soit (i) que la collecte des données ou la production d'un rapport exploitable est impossible (par exemple une modification des interfaces (API) de Microsoft empêchant la collecte et aboutissant à un rapport dépourvu de contenu), soit (ii) que le rapport n'a pas pu être délivré dans un délai manifestement excessif au regard du délai annoncé (l'audit, normalement réalisé en quelques dizaines de minutes, n'aboutissant pas après un délai déraisonnable). Hors ces cas objectivement prouvés, le service étant exécuté et le rapport délivré, aucun remboursement n'est dû ; le simple changement d'avis ou la non-utilisation du rapport ne constituent pas un motif.
L'Offre Pro étant un paiement unique pour une prestation ponctuelle, aucun remboursement n'est dû après exécution du Rapport.
Article 14 -- Confidentialité
Chaque Partie s'engage à conserver confidentielles les informations non publiques échangées dans le cadre du contrat, pendant sa durée et pendant une période de trois (3) ans après son terme, sauf informations devenues publiques sans faute de la Partie réceptrice.
Article 15 -- Droit applicable et juridiction compétente
Les présentes CGV sont régies par le droit français.
En cas de litige, et à défaut de résolution amiable préalable dans un délai de trente (30) jours à compter de la notification du différend, compétence exclusive est attribuée aux tribunaux du ressort d'Aix-en-Provence, sous réserve des règles d'ordre public applicables aux litiges transfrontaliers.
Article 16 -- Dispositions diverses
Si une stipulation des CGV était déclarée nulle ou inapplicable par une juridiction compétente, les autres stipulations demeurent en vigueur. La tolérance par l'une des Parties d'un manquement de l'autre ne vaut pas renonciation à ses droits. Les CGV constituent l'intégralité de l'accord entre les Parties sur leur objet et remplacent tout accord antérieur.
Références légales
- Règlement (UE) 2016/679 (RGPD), articles 13, 14, 28, 32 : EUR-Lex CELEX:32016R0679
- Loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés) : Légifrance
- Code de commerce, art. L.441-10 et s. (pénalités de retard B2B) : Légifrance
- Code civil, art. 1218 (force majeure)
- CNIL, lignes directrices cookies : cnil.fr